prob36 - File Deleted
포렌식 문제이다. 아동청소년보호법위배파일을 찾으란다. file_deleted.7z라는 파일이 있는데 압축을 풀면 볼 수 있다. 포렌식을 풀때 보다 보기 편하게 하기 위해 FTK Imager를 이용했다.
FTK로 열어서 여러 경로들을 훑어보다가 찾은 파일이 's3c3r7.avi.lnk'
Recent폴더 안에 있으며 링크파일이므로 확인할 수 없다. 여기서 정보를 빼내야 하는데 옛날에 바로가기 파일(lnk)에 관련된 문서가 http:/forensic-proof.com 에 있었던 것이 기억나서 들어가 봤는데 pdf파일은 현재(15년 10월)는 파일이 지워져 있는 상태이다.
대신 다른 포스팅이 있어서 이를 참고했다.
http://forensic-proof.com/archives/607
포스팅을 보면 파일의 헤더 정보를 알려주기도 하는데 010editor를 이용해 편리하게 보는 방법도 알려준다.
010Editor를 사용한 화면이다. 왼쪽 상단에 보면 Open Files에 LNKTemplate.bt가 있는데 이는 lnk파일을 분석할때 lnk파일 포맷에 맞게 헤더 정보를 알려주는 일종의 에드온 파일이다. 이 파일도 설정하고 난 뒤 Run Script를 하게 되면 정보를 확인할 수 있다.
LNKTemplate.bt를 이용해 정보를 추출한 화면이다. 문제에서 원하는 답을 순서대로 찾으면 다음과 같다.
원본 경로 : H:\study\s3c3r7.avi
만들어진 시간 : 20131016045210
마지막 실행 된 시간 : 20131016142450
쓰인 시간 : 20131016103747
볼륨 시리얼 : D0A8-02A9
하지만 문제의 답을 제출을 할 때에는 제시된 것처럼 시간은 GMT+9를 해야한다 그래서 최종 답은
lowercase(md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9))가 된다.
XCZ.KR Answer : 66f67cd42c58763fd8d58eed6b5bfdba
'CTF | wargame' 카테고리의 다른 글
| Hack-me / Rape me,If you can (class파일 디컴파일[jad]) (0) | 2016.07.22 |
|---|---|
| Hack-me / Apple Online Store (쿠키, 에이전트 변조) (0) | 2016.07.22 |
| XCZ.kr / Prob34 (리버싱, .net프로그램) (0) | 2016.07.22 |
| XCZ.kr / Prob32 (웹,php trick) (0) | 2016.07.22 |
| XCZ.kr / Prob26 (암호, 3자리 암호화) (0) | 2016.07.22 |